作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2007/07/26 (转载请保留此申明)
最近很多人中了8749的病毒(首页被修改为 www.8749.com),昨天拿到了个样本,是个dll,大小42KB左右,于是抓紧时间测试了一下
File: kk.dll
Size: 43086 bytes
MD5: BCE7AF1E8C1D09D4982FD01213A8CC47
SHA1: 49C2AE96C5296F5297868CC611105B7640109AA8
CRC32: 25629E7A
用rundll32.exe加载该dll
生成如下文件
C:\WINDOWS\system32\JCVOH.dll(随机文件名)
C:\WINDOWS\system32\lmnop.dll(随机文件名)
注册表中查找software\tencent\qq键 获得qq安装目录
在qq 安装文件夹下释放
rasadhlp.dll和hijk.dll(随机文件名,与JCVOH.dll是一个文件其实)
修改hosts文件
125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
删除HKLM\SYSTEM\ControlSet001\Control\SafeBoot键 破坏安全模式
增加注册表键值
HKLM\SOFTWARE\Classes\CLSID\{9630DA74-741E-30DA-30DA-1EB852FC9630}\InprocServer32\指向 "C:\WINDOWS\system32\JCVOH.dll"
达到开机启动目的
其相关注册表项目
HKLM\SOFTWARE\Classes\CLSID\{9630DA74-741E-30DA-30DA-1EB852FC9630}\InprocServer32\: "C:\WINDOWS\system32\JCVOH.dll"
HKLM\SOFTWARE\Classes\CLSID\{9630DA74-741E-30DA-30DA-1EB852FC9630}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{9630DA74-741E-30DA-30DA-1EB852FC9630}\: ""
HKLM\SOFTWARE下面增加键8749 technologies 里面记录着病毒的版本 我拿到的是07072402版本
关闭如下进程以及窗口
360safe.exe
wopticlean.exe
kakasetup.exe
ras.exe
btbaicai.exe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
修改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
的start page值为http://www.8749.com
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
的CustomizeSearch值为http://www.8749.com
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
的SearchAssistant值为http://www.8749.com
控制Explorer.exe连接网络125.91.1.20:80
下载ok1.exe到C:\WINDOWS\system32\文件夹下
此exe释放C:\WINDOWS\system32\navcoy.dll
相关注册表项目
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\VersionIndependentProgID\: "Baidu509.Navcot"
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\TypeLib\: "{A684F05F-05BA-4845-8436-78F02A3C6BD6}"
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\ProgID\: "Baidu509.Navcot.1"
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\InprocServer32\: "C:\WINDOWS\system32\navcoy.dll"
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{116AE73A-7D10-4EC2-A46D-52CA50D5197F}\: "Navcot Class"
清除办法试了很多,开始是删除HKLM\SOFTWARE\Classes\CLSID\{9630DA74-741E-30DA-30DA-1EB852FC9630}
这个整个键 但重启后依旧
猜想应该是重启时候从内存中恢复了注册表
最后使用修改版的冰刃干掉了这个病毒
下面说一下我对于查杀该病毒的一些建议,由于病毒采用随机文件名(且文件名长度不确定),所以难于下手,只当抛砖引玉了
1.首先查找那个作祟的dll
提供以下参考方法:
由于病毒装到了QQ安装文件夹 而且肯定qq卸载程序的列表中不会有那个病毒的dll 所以我们通过卸载qq 来使他现身
如图 剩下了几个dll文件 分别查看他们的属性 公司为Tencent或者腾讯的就不是病毒
把他们排除 最后剩下了两个
rasadhlp.dll和hijk.dll
rasadhlp.dll是病毒所附带生成的 且不是随机文件名
那么那个hijk.dll就是病毒了
继续查找系统文件夹下的dll
我们扫描sreng日志
通过日志查看
正在运行的进程
[PID: 1764 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JCVOH.dll] [N/A, ]
[C:\WINDOWS\system32\navcoy.dll] [, 1, 0, 0, 1]
查找公司为N/A的dll 这里为C:\WINDOWS\system32\JCVOH.dll 首先确定他为怀疑对象
API HOOK
入口点错误:RegEnumValueA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\JCVOH.dll)
入口点错误:RegEnumValueW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\JCVOH.dll)
由于病毒会hook多个api函数 所以在sreng日志里面可以看到如上信息
可以看到也指向了C:\WINDOWS\system32\JCVOH.dll
那么我们可以基本确定 C:\WINDOWS\system32\JCVOH.dll为我们找的病毒文件了
最后对证一下
我们用MD5查看工具 比较C:\WINDOWS\system32\JCVOH.dll和qq安装文件夹下的 hijk.dll 完全相同
所以可以确定他就是元凶了
2.使用修改版的冰刃
点击左下角的文件按钮 找到C:\WINDOWS\system32\JCVOH.dll 右键 强制删除
3.打开sreng
系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”
[Navcot Class]
{116AE73A-7D10-4EC2-A46D-52CA50D5197F} <C:\WINDOWS\system32\navcoy.dll, >
系统修复 高级修复 修复安全模式
重启计算机 删除
C:\WINDOWS\system32\navcoy.dll
C:\WINDOWS\system32\ok1.exe
删除qq安装文件夹中的rasadhlp.dll和hijk.dll(随机文件名)
